Lima, 07 de enero de 2021

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Contenido
Babuk Locker nuevo ransomware utilizado para atacar organizaciones corporativas. ................................3
Variante de malware electroRAT ..................................................................................................................4
Nueva campaña de envío de correos electrónicos .......................................................................................5
Nuevo malware usa un nuevo cargador de memoria Ezuri ..........................................................................6
Troyano “ElectroRAT” dirigido a usuarios de criptomonedas .......................................................................7
Índice alfabético ............................................................................................................................................9

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 07-01-2021
SEGURIDAD DIGITAL N° 004 Página: 3 de 9
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Babuk Locker nuevo ransomware utilizado para atacar organizaciones corporativas.
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte de un nuevo ransomware llamado
“Babuk Locker”, el cual utiliza algunas de las nuevas técnicas como el cifrado de subprocesos múltiples y abusar del
administrador de reinicio de Windows similar a
Conti y REvil.
2. Detalles de la alerta:
Uno de los nuevos malware, identificado en el
presente año es el ransomware llamado ““Babuk
Locker”. Los ciberdelincuentes vienen utilizando
este peligroso malware para atacar
organizaciones corporativas.
Este es un ransomware bastante estándar que
utiliza nuevas técnicas, como el cifrado de
subprocesos múltiples, además de abusar del
Administrador de reinicio de Windows similar a
Conti y REvil.
Asimismo, para el esquema de cifrado, Babuk
utiliza su propia implementación de hash
SHA256, cifrado ChaCha8 y algoritmo de
generación e intercambio de claves Diffie-
Hellman (ECDH) de curva elíptica para proteger sus claves y cifrar archivos. Al igual que muchos ransomware anteriores,
también tiene la capacidad de difundir su cifrado mediante la enumeración de los recursos de red disponibles.
Además, al cifrar archivos, Babuk Locker utilizará una extensión codificada y la agregará a cada archivo cifrado, la
extensión codificada actualmente utilizada para todas las víctimas hasta ahora es “._ NIST_K571_”, tal como se muestra
en la Figura 1, para luego crear una nota de rescate llamada How To Restore Your Files.txt.
3. Indicadores de Compromiso:
• SHA-256:
o 8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9
• MD5:
o e10713a4a5f635767dcd54d609bed977
• Fichero:
o BABUK.exe
4. Recomendaciones:
• Evaluar bloqueo preventivo de los indicadores de compromiso.
• Mantener un protocolo de actualizaciones de sistemas operativos, antivirus y todas las aplicaciones de TI.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 07-01-2021
SEGURIDAD DIGITAL N° 004 Página: 4 de 9
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
ARMADAS
Variante de malware electroRAT
Explotación de vulnerabilidades malware Abreviatura ElectroRAT
Red, internet
H Código de subfamilia H01
Robo de Información
Descripción

1. El 07 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que
La firma de seguridad Intezer Labs, informó que halló una operación encubierta de malware de un año de duración en
la que los ciberdelincuentes crearon aplicaciones falsas de criptocorriente para engañar a los usuarios para que
instalaran un nuevo tipo de malware en sus sistemas, con el obvio objetivo final de robar los fondos de las víctimas.

2. La campaña fue descubierta en diciembre de 2020, pero los investigadores dijeron que creen que el grupo comenzó a
difundir su malware ya el 8 de enero de 2020"Microsoft Defender para Identity puede detectar esta vulnerabilidad
desde el principio", dijo el gerente de programas de Microsoft, Daniel Naim. "Cubre tanto los aspectos de explotación
como la inspección del tráfico del canal Netlogon".
3. Intezer Labs dijo que los delincuentes confiaban en tres aplicaciones relacionadas con la criptografía para su esquema,
llamadas Jamm, eTrade/Kintum y DaoPoker, y estaban alojadas en sitios web dedicados a jamm[.]to, kintum[.]io y
daopker[.]com, respectivamente.

4. Las dos primeras, afirmaban proporcionar una plataforma sencilla para comerciar con criptodólares, mientras que la
tercera era una aplicación de póquer con criptodólares. Las tres aplicaciones venían en versiones para Windows, Mac
y Linux, y se construyeron sobre Electrón, un marco de construcción de aplicaciones.
5. Pero los investigadores de Intezer aseveraron que las aplicaciones también vinieron con una pequeña sorpresa en
forma de una nueva cepa de malware que estaba escondida dentro, que los investigadores de la compañía llamaron
ElectroRAT.

6. Se recomienda:
• Los usuarios de criptocodificación que hayan perdido fondos durante el último año pero que no hayan identificado
la fuente de su incumplimiento deberían comprobar si han descargado e instalado alguna de las tres aplicaciones
mencionadas en este artículo.
• Verificar la fuente de las aplicaciones instaladas en los ordenadores y dispositivos electrónicos.

hxxps://www.ciberseguridadlatam.com/2021/01/06/piratas-informaticos-se-dirigen-a-
Fuentes de información
usuarios-de-criptografia-con-el-nuevo-malware-electrorat/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 7-01-2021
SEGURIDAD DIGITAL N° 004 Página: 5 de 9
COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nueva campaña de envío de correos electrónicos
Troyanos Abreviatura Troyanos
USB, disco, red, correo, navegación de internet
C Código de subfamilia C01
Código malicioso.
Descripción

1. El 7 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de
una nueva campaña de envío de correos de electrónicos fraudulentos con el asunto "BUENA OFERTA DE PRÉSTAMO"
que contiene un archivo adjunto con extensión Java (JAR) llamado "TRUMP_SEX_SCANDAL_VIDEO.jar". Al descargar el
archivo infecta al equipo con un nuevo troyano de acceso remoto (RAT) denominado “QNode” dirigido al sistema
operativo Windows, con la finalidad de obtener información del sistema, realización de operaciones de archivos y la
adquisición de credenciales de aplicaciones como Google Chrome, Firefox, Thunderbird y Microsoft Outlook.

2. Este troyano configura la plataforma Node.Js en el sistema, luego descarga y ejecuta un descargador de segunda etapa
llamado "wizard.js" que es responsable de lograr la persistencia y obtener y ejecutar el Qnode RAT ("qnode-win32-
ia32. js ") desde un servidor controlado por un atacante.

3. Recomendaciones:
• Evitar descargar y abrir archivos de fuentes de dudosa procedencia.
• Realizar copias de seguridad periódicas en los equipos.
• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.
• Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 07-01-2021
SEGURIDAD DIGITAL N° 004 Página: 6 de 9
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo malware usa un nuevo cargador de memoria Ezuri
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El equipo de AT&T Alien Labs ha detectado a varios actores de amenazas que han comenzado a usar una herramienta
escrito en lenguaje Golang para actuar como empaquetadores y evitar la detección de antivirus. Además, la
herramienta de carga de memoria Ezuri actúa como un cargador de malware y ejecuta su carga útil en la memoria, sin
escribir el archivo en el disco. Esta técnica es muy utilizada por el malware en equipos con sistema operativo Windows
y Linux. El objetivo principal del grupo es apuntar a los sistemas Docker con configuraciones incorrectas, así como a las
API de administración expuestas y desprotegidas, para luego instalar bots DDoS y criptomineros en los sistemas
infectados.
2. Detalles:
AT&T Alien Labs ha identificado a varios autores de malware que aprovechan el cargador Ezuri en los últimos meses,
incluido TeamTNT, que fue el primero en identificar. TeamTNT es un grupo de ciberdelincuencia que ha estado activo
desde al menos abril de 2020.
Las técnicas y las similitudes de código entre la herramienta original, llamada Ezuri, y la utilizada recientemente por
TeamTNT son enormes. El más evidente es la cadena “Ezuri” en el binario compilado. Además, el cargador descifra el
malware malicioso y lo ejecuta utilizando memfd create. Al crear un proceso, el sistema devuelve un descriptor de
archivo a un archivo anónimo en ' / proc / PID / fd / ' que es visible solo en el sistema de archivos.
El cargador, escrito en Golang, se toma del código "Ezuri" en GitHub a través del usuario “guitmz”. Este usuario creó
originalmente el cargador ELF alrededor de marzo de 2019, cuando escribió un blog sobre la técnica para ejecutar
ejecutables ELF desde la memoria y compartió el cargador en su GitHub. Además, un usuario similar “TMZ”
(presumiblemente asociado con el “guitmz”) publicó este mismo código a fines de agosto, en un pequeño foro donde
se comparten muestras de malware.
El usuario de guitmz incluso ejecutó pruebas contra VirusTotal para demostrar la eficiencia del código, cargando una
muestra Linux.Cephei detectada con 30/61 detecciones de antivirus (AV) en el código de muestra oculto AV de Ezuri,
en comparación con el mismo código de detección de Ezuri.
Asimismo, el equipo de AT&T Alien Labs accedió a la carga de código de Guitmz para su análisis. La herramienta está
escrita en Golang y es intuitiva de usar. Al ejecutar, primero solicita la ruta de la carga útil que se cifrará, junto con la
contraseña que se utilizará para el cifrado AES. Si no se proporciona una contraseña, la herramienta genera una, que
se utiliza para ocultar el malware dentro del cargador. Después de la entrada del usuario, el empaquetador compila el
cargador con la carga útil encriptada dentro de él, por lo que se puede desencriptar y ejecutar en la memoria una vez
que se coloca en el sistema de la víctima.
3. Indicadores de Compromiso: Ver IoC aquí.
4. Recomendaciones:
• Mantener activa y actualizada las herramientas de protección, como el antivirus, antimalware, etc.
• Evitar ejecutar archivos, links o utilizar dispositivos USB de dudosa procedencia.
• Evitar hacer clic en enlaces o descargar archivos que llegan en correos inesperados o mensajes de fuentes
desconocidas.
• Implementar el doble factor de autenticación en las cuentas importantes e instalar una solución de seguridad
multicapa con protección antiphishing.

Fuentes de información hxxps://cybersecurity.att.com/blogs/labs-research/malware-using-new-ezuri-memory-loader

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 07-01-2021
SEGURIDAD DIGITAL N° 004 Página: 7 de 9
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Troyano “ElectroRAT” dirigido a usuarios de criptomonedas
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web
“BLEEPINGCOMPUTER”, informa sobre la detección de una nueva campaña cibernética, el cual incluye registros de
dominio, sitios web, aplicaciones troyanizadas, cuentas de redes sociales falsas y una nueva RAT(Herramienta de
administración remota) no detectada que se ha denominado ElectroRAT, el cual está compilado para apuntar a
múltiples sistemas operativos: Windows, Linux y MacOS. Las aplicaciones maliciosas fueron descargadas por miles de
víctimas entre enero y diciembre de 2020, y una de las páginas de pastebin utilizadas por el malware para recuperar
direcciones de servidor de comando y control (C2) se ha accedido casi 6.500 veces a lo largo del año.
2. Detalles del troyano “ElectroRAT“.
• El atacante ha creado tres aplicaciones troyanizadas, las cuales cada una con una versión para Windows, Linux y
Mac “Jamm, eTrade y DaoPoker “, respectivamente. Estas aplicaciones están directamente relacionadas con las
criptomonedas.
• Se propagaban en foros relacionados con criptomonedas y cadenas de bloques, como bitcointalk y SteemCoinPan.
Las publicaciones promocionales, publicadas por usuarios falsos, tentaron a los lectores a navegar por las páginas
web de las aplicaciones, donde podían descargar la aplicación sin saber que en realidad estaban instalando un
malware.
• El atacante hizo un esfuerzo adicional para crear personajes de Twitter y Telegram para la aplicación "DaoPoker",
además de pagarle a un influencer de las redes sociales por publicidad.
• ElectroRAT contacta páginas de pastebin sin procesar para recuperar la dirección IP de C&C. Las páginas de pastebin
son publicadas por el mismo usuario llamado “Execmac”. Navegando por la página del usuario, tenemos más
visibilidad del número de víctimas objeto de esta campaña.

• Imagen: Operación ElectroRAT.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 • Indicadores de compromiso.
o Archivos analizados:

Nombre: eTrader-0.1.0_mchos.dmg
MD5: 7f79956a5c3a67e473d602be45841ae6
SHA-1: 2795ca35847cecb543f713b773d87c089a6a38ba
SHA-256:5c884be3635eb55ce02e141d6fb07f760b6dbcace54f2217c69f287292ce59f6

Nombre: .mdworker
MD5: d07d48d0571f6b7cbfe1771beecf3ba4
SHA-1: 6f80dabc3c72044faafcd463f822febd75aabdda
SHA-256: 17b0b1a9271683f30e5bfd92eec9c0a917755f54060ef40d9bd0f12e927f540f

Nombre: .mdworker
MD5: 2c35bfabc6f441a90c8cc584e834eb59
SHA-1: 9d2351ec8f0f9b833641b325874cec4c40966dbf
SHA-256: 2ad12f75695ec4f63d7b35a79d118d7ed2eccc42f9cfa8fb75ec738f86f6ab99

3. Recomendaciones:
• Finalice el proceso y elimine todos los archivos relacionados con el malware.
• Asegúrese de que su máquina esté limpia y ejecutando un código 100% confiable utilizando herramientas oficiales.
• Mueva sus fondos a una nueva billetera.
• Cambie todas sus contraseñas
hxxps://www.bleepingcomputer.com/news/security/cross-platform-electrorat-malware-
Fuentes de información
drains-cryptocurrency-wallets/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Página: 9 de 9

Índice alfabético

Código malicioso .................................................................................................................................................... 3, 5, 6, 7

Correo electrónico ............................................................................................................................................................. 3
DDoS .................................................................................................................................................................................. 6
internet .............................................................................................................................................................................. 3
malware ............................................................................................................................................................. 3, 4, 6, 7, 8
Malware ......................................................................................................................................................................... 4, 6
ransomware ....................................................................................................................................................................... 3
Ransomware ...................................................................................................................................................................... 3
Red, internet ...................................................................................................................................................................... 4
redes sociales................................................................................................................................................................. 1, 7
servidor .......................................................................................................................................................................... 5, 7
software ............................................................................................................................................................................. 5
Troyanos ........................................................................................................................................................................ 5, 7
USB, disco, red, correo, navegación de internet ....................................................................................................... 5, 6, 7

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe